Эта статья или раздел нуждается в переработке. |
В области компьютерной безопасности, независимые исследователи часто находят недостатки в программном обеспечении, которые могут быть использованы для вызова непредвиденного поведения программы. Эти недостатки называются уязвимостями. Процесс, посредством которого результаты исследований становятся доступны третьим лицам, является объектом жарких споров и называется политикой раскрытия исследователя.
Полное раскрытие — это практика публикации результатов исследования уязвимостей программного обеспечения так быстро, как только это возможно, делая данные доступными для всех без ограничений.
Основным аргументом «за» столь широкое распространение информации является то, что потенциальные жертвы также осведомлены об уязвимостях, как и те, кто нападают на них.[1]
В своём эссе по теме Брюс Шнайер утверждает: «Полное раскрытие — открытие публичного доступа к деталям уязвимостей — чертовски хорошая идея. Общественный контроль является единственным надёжным способом увеличения безопасности, тогда как тайны только уменьшают нашу безопасность».[2]
Леонард Роуз, один из создателей электронного листа рассылки, который вытеснил bugtraq, фактически став форумом для распространения рекомендаций по защите, поясняет: «Мы не верим в достижение безопасности через неясность, насколько мы знаем, полное раскрытие — единственный способ удостовериться, что все, а не только инсайдеры имеют доступ к необходимой информации».[3]
Дебаты о раскрытии уязвимостей
правитьСпоры вокруг публичного раскрытия конфиденциальной информации не новы. Вопрос полного раскрытия был впервые поднят в контексте изготовления замков. В 19 веке велись споры относительно того, должны ли уязвимые места замков держаться в секрете сообществом ключников или же быть открытыми публике.[4]
Сегодня, существует три основных политики раскрытия информации, по которым может быть распределена большая часть остальных:[5] Нераскрытие, Координированное Раскрытие и Полное Раскрытие.
Основные заинтересованные стороны в исследовании уязвимостей, изменяли свою политику раскрытия под действием различных факторов. Не является редкостью продвижение собственной политики как основной и порицание тех, чья политика раскрытия отличается. Множество видных исследователей безопасности предпочитают полное раскрытие, тогда как большая часть производителей предпочитает координированное раскрытие. Нераскрытие обычно является выбором продавцов уязвимостей и хакеров «черношапочников».[6]
Координированное раскрытие
правитьСторонники координированного раскрытия считают, что производители программного обеспечения имеют право контролировать информацию об уязвимостях в их продуктах.[7] Основной принцип координированного раскрытия — никто не должен быть информирован об уязвимости в продукте, пока разработчик не дал своего согласия. Хотя существуют вариации и исключения из этой политики, распространение должно быть изначально ограничено и производители должны иметь доступ к закрытым исследованиям. Защитники координированного раскрытия предпочитают аккуратный, но менее точный термин — «ответственное раскрытие», введенный Директором по Безопасности Майкрософта Скоттом Калпом в его статье «Пора Положить Конец Информационной Анархии»[8](относительно полного раскрытия). Позже представители Майкрософт настояли, чтобы термин был заменен на «координированное раскрытие».[9]
Хотя суждения и были подвержены переменам, но многие компании и исследователи утверждали, что конечные пользователи не могут воспользоваться доступом к информации об уязвимостях без руководства или патчей от производителя, таким образом, риски от попадания исследований не в те руки слишком велики. Как объясняет Майкрософт, «[Координированное раскрытие] служит интересам всех, удостоверяясь, что пользователи получают всеобъемлющие, высококачественные обновления для уязвимостей в системе безопасности, но в то же время они не доступны для злоумышленников во время разработки.»[10]
Доводы против координированного раскрытия
правитьИсследователи, предпочитающие координированное раскрытие считают, что пользователи не могут использовать дополнительные знания об уязвимостях без помощи со стороны разработчика и что для большинства будет лучше, если ограничить распространение информации об уязвимостях. Сторонники утверждают, что низкоквалифицированные злоумышленники могут использовать эту информацию для проведения сложных атак, которые в противном случае были бы неосуществимы для них, а потенциальная выгода не перевешивает потенциальный вред от злоумышленников. Только когда разработчик подготовит руководство, которое позволит даже самым неопытным пользователям разобраться в информации, тогда информацию можно публиковать.
Этот довод предполагает, что обнаружение уязвимости может быть сделано только одним человеком. Существует множество примеров, когда уязвимости были найдены одновременно, после чего тайно использованы до открытия другими исследователями.[11] Хотя могут существовать пользователи, которые не могут воспользоваться информацией об уязвимостях, сторонники полного раскрытия считают, что это демонстрация презрения к интеллекту конечных пользователей. Это правда, что некоторые пользователи не могут воспользоваться информацией об уязвимостях, но если их действительно волнует безопасность их сетей, они могут нанять эксперта для помощи, точно так же как вы можете нанять механика для помощи с машиной.
Полное раскрытие
правитьПолное раскрытие это политика публикации информации об уязвимостях без ограничений, так быстро, как только возможно, делая информацию доступной публике без ограничений. В общем, сторонники полного раскрытия считают, что польза от свободно доступной информации об уязвимостях перевешивает риски, тогда как их оппоненты предпочитают ограничивать распространение.
Свободный доступ к информации об уязвимостях позволяет пользователям и администраторам осознавать и реагировать на уязвимости в их системах, а также позволяет потребителям оказывать давление на разработчиков, дабы те устранили уязвимости, для решения которых иначе отсутствовал бы стимул. Есть несколько базовых проблем, которые может решить полное раскрытие.
- Если потребители не знают об уязвимостях, они не могут требовать патчи, а разработчикам экономически нецелесообразно исправлять уязвимости без требований.
- Администраторы не могут принимать осознанные решения, связанные с рисками в их системах, если информация по уязвимостям не доступна.
- Злоумышленники, которые также знают про недостаток, могут долго его использовать
Нахождение специфического недостатка или уязвимости не является эксклюзивным; несколько исследователей с различными целями могут открыть одни и те же недостатки независимо.
Не существует стандартного способа сделать информацию об уязвимостях публичной, обычно исследователи используют листы подписок по теме, академические доклады или международные конференции.
Нераскрытие
правитьНераскрытие это принцип, по которому не следует делиться информацией об уязвимостях или следует, но только под подпиской о неразглашении.
Типичными сторонниками нераскрытия являются продавцы уязвимостей, исследователи, которые планируют использовать найденные уязвимости и разработчики, считающие что любая информация об уязвимостях помогает хакерам.
Аргументы против нераскрытия
правитьНераскрытие обычно используется, когда исследователь планирует использовать знание уязвимостей для атаки компьютерных систем своих противников, или же продать эти знания третьей стороне, которая будет использовать их для атак на оппонентов.
Исследователи, практикующие нераскрытие, обычно не озабочены увеличением безопасности или защиты сетей. Однако, некоторые сторонники заявляют что просто не хотят помогать разработчикам и не имеют намерения вредить другим.
В то время, как сторонники полного и координированного раскрытия имеют общие цели, не соглашаясь лишь в методах их достижения, нераскрытие полностью не совместимо с ними.
Примечания
править- ↑ Heiser, Jay Exposing Infosecurity Hype . Information Security Mag. TechTarget. Дата обращения: 1 января 2001. Архивировано 28 марта 2006 года.
- ↑ Schneier, Bruce Damned Good Idea . CSO Online. Дата обращения: 29 апреля 2013. Архивировано 5 июля 2013 года.
- ↑ Rose, Leonard Full-Disclosure . A lightly-moderated mailing list for the discussion of security issues. Дата обращения: 29 апреля 2013. Архивировано из оригинала 23 декабря 2010 года.
- ↑ Hobbs, Alfred. Locks and Safes: The Construction of Locks (англ.). — London: Virtue & Co., 1853.
- ↑ Shepherd, Stephen Vulnerability Disclosure: How do we define Responsible Disclosure? SANS GIAC SEC PRACTICAL VER. 1.4B (OPTION 1). SANS Institute. Дата обращения: 29 апреля 2013. Архивировано 22 марта 2013 года.
- ↑ Moore, Robert. Cybercrime: Investigating High Technology Computer Crime (англ.). — Matthew Bender & Company, 2005. — P. 258. — ISBN 1-59345-303-5.
- ↑ Christey, Steve Responsible Vulnerability Disclosure Process 3.3.2. IETF. Дата обращения: 29 апреля 2013. Архивировано 8 июля 2013 года.
- ↑ Culp, Scott It’s Time to End Information Anarchy . Technet Security. Microsoft TechNet. Дата обращения: 29 апреля 2013. Архивировано 9 ноября 2001 года.
- ↑ Goodin, Dan Microsoft imposes security disclosure policy on all workers . The Register. Дата обращения: 29 апреля 2013. Архивировано 25 мая 2013 года.
- ↑ Microsoft Security Coordinated Vulnerability Disclosure . Дата обращения: 29 апреля 2013. Архивировано из оригинала 7 марта 2013 года.
- ↑ B1tch3z, Ac1d Ac1db1tch3z vs x86_64 Linux Kernel . Дата обращения: 29 апреля 2013. Архивировано 25 мая 2013 года.